Nunca a complexidade digital e a sofisticação das ameaças cibernéticas foram tão altas quanto atualmente. Só no ano passado, o país registrou 315 bilhões de tentativas de ataque cibernético – 84% de todas as investidas na América Latina. Mesmo assim, muitos negócios ainda se apoiam em modelos de gestão de riscos que pararam no tempo, completamente desalinhados da evolução dessas ameaças.
Essa defasagem entre um cenário de risco cada vez mais complexo e práticas antiquadas de gerenciamento não é mera teoria; de acordo com especialistas, o nível de exposição digital das empresas cresce em velocidade superior à capacidade de resposta da maioria das organizações. Isso se traduz em vulnerabilidades concretas no dia a dia das organizações. Tecnologicamente, sistemas críticos permanecem expostos por falta de atualização e vigilância; operacionalmente, episódios recentes evidenciaram que as defesas corporativas evoluem em ritmo bem mais lento do que as táticas dos atacantes.
Prova disso é que, embora 79% das empresas brasileiras reconheçam estar mais expostas a ataques cibernéticos, somente 44% das altas administrações estão diretamente envolvidas no tema. Ou seja, a liderança muitas vezes não assume para si a questão, mantendo um descompasso entre a percepção do risco e a ação estratégica sobre ele. O resultado é uma gestão calcificada em práticas ultrapassadas – auditorias anuais protocolares, matrizes de risco estáticas e checklists de conformidade – incapaz de reagir a um cenário onde as ameaças evoluem dia após dia.
Pontos cegos na infraestrutura
Um dos pontos críticos é a falta de visibilidade real em ambientes híbridos cada vez mais complexos. Hoje, infraestrutura local convive com múltiplas nuvens públicas, aplicações SaaS e uma infinidade de integrações via APIs – um ecossistema fragmentado em que muitas organizações não conseguem enxergar todos os seus pontos de vulnerabilidade. A principal dificuldade nesses ambientes híbridos é justamente a ausência de visibilidade e controle unificado.
Cada novo serviço em nuvem ou conexão externa adiciona camadas de complexidade e potenciais brechas de segurança. Segundo o relatório State of API Security 2025, 91% das empresas admitiram não ter plena visibilidade das integrações e APIs conectadas ao seu ambiente – e mais de 60% sofreram incidentes envolvendo APIs no último ano.
Há “pontos cegos” na rede corporativa que passam despercebidos pela segurança até que se convertam em incidentes. Quando a TI opera às escuras, torna-se impossível gerir riscos de forma eficaz. Ambientes multi-nuvem e híbridos exigem monitoramento constante e ferramentas que consolidem alertas, mas muitas empresas ainda não evoluíram suas práticas para atingir esse nível de vigilância abrangente.
Somando-se a isso, vemos decisões de TI sendo tomadas sem a devida análise de impacto no negócio. Seja ao adotar uma nova tecnologia, migrar sistemas críticos para a nuvem ou mesmo ao cortar custos em infraestrutura, empresas têm cometido o erro de não envolver as áreas de negócio e de risco no processo. O resultado são surpresas desagradáveis: dependências ocultas que são descobertas apenas quando um sistema cai, planos de contingência inexistentes e perda de receita por indisponibilidade de serviços que ninguém previu.
Cortes ou mudanças “a olho” na TI, sem critério estratégico, costumam gerar efeitos colaterais graves: perda de produtividade, aumento de falhas operacionais, brechas de segurança e até interrupções completas do negócio. Em outras palavras, quando a TI opera isolada, o risco de decisões tecnológicas mal calibradas ricochetearem na operação é altíssimo.
Muitas empresas ainda tratam projetos de tecnologia como algo apartado – e percebem tarde demais que aquela “simples atualização de software” podia, na verdade, parar uma linha de produção ou deixar um serviço indisponível nacionalmente
Todos esses fatores apontam para uma desconexão entre o risco mapeado no papel e o risco real correndo solto no dia a dia. Muitas empresas podem exibir orgulhosamente suas matrizes de riscos coloridas e relatórios anuais de auditoria, mas na prática não estão capturando o que realmente pode derrubá-las. Há um fosso entre o risco “oficial”, documentado, e o risco vivo, emergente nos ambientes digitais.
Enquanto o mapa de riscos permanece quase inalterado de um ano para o outro, o cenário tecnológico ao redor se transforma em alta velocidade – novas ameaças, novos ativos, novas interdependências. Protocolos formais e checklists não capturam a dinâmica caótica atual, em que um incidente pode se originar em qualquer ponto obscuro: uma API esquecida, um fornecedor negligenciado, uma decisão tomada sem consulta.
Superar essas fragilidades exige uma mudança de postura imediata. Em primeiro lugar, é preciso reconhecer que riscos tecnológicos e operacionais são, hoje, riscos estratégicos do negócio. A cibersegurança e a continuidade digital deixaram de ser assuntos restritos à equipe de TI – tornaram-se temas centrais de planejamento estratégico, governança corporativa e até de responsabilidade do Conselho de Administração. ‘
Órgãos reguladores já sinalizam essa expectativa: no final de 2025, o Banco Central atualizou normas (Resolução CMN 5.274) exigindo que instituições financeiras tratem risco cibernético como risco operacional relevante, atrelado à estabilidade do negócio, e cobrou envolvimento direto da alta administração na supervisão desse risco.
Isso significa que o risco digital entrou de vez na pauta de conselhos e comitês executivos. Perguntas como “qual nosso nível real de exposição?” ou “nossa dependência de terceiros está sob controle?” devem guiar discussões de alto nível.
Em conclusão, a transformação digital trouxe oportunidades enormes, mas também revelou que velhos métodos de controle já não bastam para domar os novos perigos. As empresas que não revisarem sua abordagem de risco – incorporando visibilidade total dos ambientes híbridos, monitoramento contínuo de fornecedores, governança proativa de TI e revisão constante dos cenários de ameaça – continuarão expostas a choques inesperados e perdas potencialmente devastadoras.
*Por Sylvio Sobreira Vieira, CEO & Head Consulting da SVX Consultoria.
